導(dǎo)語(yǔ)：第三方支付信息安全監(jiān)管及對(duì)策一文來(lái)源于網(wǎng)友上傳，不代表本站觀點(diǎn)，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

［摘要］我國(guó)第三方支付市場(chǎng)具有涉及面廣、復(fù)雜度高、監(jiān)管主體多等特點(diǎn)，其研究目前主要集中于行業(yè)發(fā)展、監(jiān)管主體、風(fēng)險(xiǎn)管理、支付機(jī)構(gòu)監(jiān)管定位和消費(fèi)者權(quán)益保護(hù)等方面，但從信息安全監(jiān)管角度對(duì)第三方支付市場(chǎng)的政策方面的研究較少。本文給出了以穩(wěn)定、有效和公平的第三方支付市場(chǎng)信息安全的監(jiān)管目標(biāo)、以央行為主多方協(xié)調(diào)的強(qiáng)制介入的監(jiān)管機(jī)制。提出引入第三方評(píng)估機(jī)構(gòu)實(shí)行外部評(píng)估并定期匯報(bào)、明確第三方支付機(jī)構(gòu)信息安全的管理要求、實(shí)施差異化監(jiān)管，加大對(duì)重點(diǎn)機(jī)構(gòu)信息安全檢查和披露等多個(gè)方面的政策措施。并提出從安全運(yùn)行率、安全標(biāo)準(zhǔn)達(dá)標(biāo)率、信息泄漏率、交易欺詐率等方面建立評(píng)估第三方支付信息安全情況的指標(biāo)體系，以期推動(dòng)我國(guó)第三方支付市場(chǎng)的穩(wěn)健發(fā)展。

［關(guān)鍵詞］第三方支付；信息安全；監(jiān)管政策；評(píng)估指標(biāo)

一、引言

國(guó)內(nèi)學(xué)者對(duì)新興的第三方支付市場(chǎng)發(fā)展和監(jiān)管進(jìn)行大量的研究，主要的研究成果集中于對(duì)第三方支付機(jī)構(gòu)監(jiān)管定位、第三方支付行業(yè)發(fā)展和第三方支付行業(yè)的風(fēng)險(xiǎn)管理等方向的研究。沈紅兵通過(guò)研究歐美等國(guó)家關(guān)于第三方支付行業(yè)的政策法規(guī)，發(fā)現(xiàn)美國(guó)第三方支付需要聯(lián)邦與州分層監(jiān)管，沉淀資金存入美國(guó)聯(lián)邦存款保險(xiǎn)公司（FDIC）無(wú)息賬戶，提出加強(qiáng)第三方支付機(jī)構(gòu)在最低資本金、內(nèi)控和風(fēng)險(xiǎn)管理的準(zhǔn)入門檻。［1］黎四奇、李俊平認(rèn)為，人民銀行將第三方支付機(jī)構(gòu)歸屬為非金融機(jī)構(gòu)這一說(shuō)法欠妥當(dāng)，對(duì)比商業(yè)銀行提供的業(yè)務(wù)范圍，第三方支付機(jī)構(gòu)業(yè)務(wù)與商業(yè)銀行的中間業(yè)務(wù)是高度重合的，為了更好地規(guī)制第三方支付機(jī)構(gòu)的行為確切地說(shuō)將第三方支付機(jī)構(gòu)應(yīng)被界定為準(zhǔn)金融機(jī)構(gòu)。［2］任曙明、張靜、趙立強(qiáng)等認(rèn)為，第三方支付行業(yè)包含了買方、賣方、商業(yè)銀行、支付機(jī)構(gòu)四種角色，第三方支付平臺(tái)是擔(dān)保買賣雙方交易的信用平臺(tái)等特性。［3］馬梅、朱曉明指出，互聯(lián)網(wǎng)與移動(dòng)互聯(lián)網(wǎng)技術(shù)的發(fā)展和普及，改變了原有商業(yè)模式，產(chǎn)生了新的商業(yè)機(jī)會(huì)，第三方支付市場(chǎng)適時(shí)而生，并在新的商業(yè)模式下不斷的發(fā)展壯大，從而又推動(dòng)了新的商業(yè)模式的產(chǎn)生，深刻影響我國(guó)的金融行業(yè)和互聯(lián)網(wǎng)行業(yè)。［4］李洪心對(duì)第三方支付行業(yè)的風(fēng)險(xiǎn)應(yīng)建立健全的監(jiān)管法律體系，以商業(yè)銀行的監(jiān)管要求來(lái)控制第三方行業(yè)的風(fēng)險(xiǎn)，建立類似商業(yè)銀行存款保證金政策等。［5］郭明他認(rèn)為第三方支付機(jī)構(gòu)是準(zhǔn)金融機(jī)構(gòu)，會(huì)存在如同金融機(jī)構(gòu)一樣的風(fēng)險(xiǎn)，并建議監(jiān)管機(jī)構(gòu)應(yīng)該監(jiān)督第三方支付流動(dòng)性和信用風(fēng)險(xiǎn)。［6］國(guó)外一些學(xué)者對(duì)第三方支付的行業(yè)發(fā)展、監(jiān)管主體、支付風(fēng)險(xiǎn)、消費(fèi)者權(quán)益保護(hù)以及數(shù)據(jù)安全標(biāo)準(zhǔn)等方面進(jìn)行了相關(guān)研究，研究成果主要集中在第三支付行業(yè)發(fā)展對(duì)社會(huì)和經(jīng)濟(jì)的意義、第三方支付行業(yè)的監(jiān)管定位和第三方支付行業(yè)的風(fēng)險(xiǎn)管理等方面。DanJKim對(duì)eBay公司進(jìn)行了深入的研究，論證了PayPal的支付服務(wù)對(duì)經(jīng)濟(jì)和社會(huì)的積極意義。［7］CindyClaycomb論證了第三方支付行業(yè)發(fā)展對(duì)國(guó)家工業(yè)市場(chǎng)的積極意義。［8］CeceliaKye研究了歐盟范圍內(nèi)的第三方支付市場(chǎng)，歐盟將第三方支付企業(yè)定性為電子貨幣機(jī)構(gòu)，歐盟的監(jiān)管部門要求第三方支付企業(yè)遵循審慎監(jiān)管原則，對(duì)第三支付機(jī)構(gòu)進(jìn)行界定與監(jiān)管。［9］SarahJHughes等介紹了美國(guó)各州對(duì)儲(chǔ)值類第三方支付機(jī)構(gòu)的最新法律法規(guī)，并介紹和分析了美國(guó)部分州監(jiān)管部門的監(jiān)管實(shí)踐和訴訟案例。［10］RichardJSullivan考察了零售支付行業(yè)的最新?tīng)顩r和面臨的風(fēng)險(xiǎn)，分析和反思了政府針對(duì)非銀行支付服務(wù)提供者設(shè)立的監(jiān)管體系，并且建議監(jiān)管者為了控制零售支付系統(tǒng)的風(fēng)險(xiǎn)而提出特殊的監(jiān)管政策，要進(jìn)一步關(guān)注零售支付系統(tǒng)內(nèi)外的信息一致、外部環(huán)境和支付機(jī)構(gòu)適配的問(wèn)題。［11］國(guó)內(nèi)外學(xué)者們對(duì)第三方支付行業(yè)的研究成果主要集中在經(jīng)濟(jì)學(xué)、金融學(xué)和法學(xué)等學(xué)科領(lǐng)域，對(duì)第三方支付行業(yè)的監(jiān)管建議是制定相應(yīng)的法律法規(guī)，審核第三方支付企業(yè)的準(zhǔn)入資格，第三方支付機(jī)構(gòu)的風(fēng)險(xiǎn)管理，包含沉淀資金管理以及反洗錢風(fēng)險(xiǎn)等方面，使第三方支付機(jī)構(gòu)健康發(fā)展，進(jìn)而為國(guó)家的經(jīng)濟(jì)、社會(huì)產(chǎn)生積極貢獻(xiàn)，但是對(duì)第三方支付市場(chǎng)在有效保護(hù)用戶信息安全、第三方支付機(jī)構(gòu)網(wǎng)絡(luò)信息安全技術(shù)標(biāo)準(zhǔn)等方面的研究較少，更缺少?gòu)男畔踩嵌葘?duì)第三方支付市場(chǎng)的監(jiān)管政策進(jìn)行系統(tǒng)性研究，因此，本文針對(duì)性提出我國(guó)第三方支付市場(chǎng)信息安全監(jiān)管的目標(biāo)、機(jī)制和政策，并嘗試建立一套我國(guó)第三方支付市場(chǎng)信息安全效果評(píng)估指標(biāo)體系。

二、監(jiān)管目標(biāo)：確保穩(wěn)定、有效和公平的第三方支付市場(chǎng)

監(jiān)管部門應(yīng)對(duì)第三方支付市場(chǎng)信息安全實(shí)施有效、可持續(xù)的監(jiān)管，才能對(duì)其發(fā)展中的各類風(fēng)險(xiǎn)和隱患進(jìn)行及時(shí)的監(jiān)控和防范，同時(shí)有效的監(jiān)管還應(yīng)能持續(xù)促進(jìn)產(chǎn)業(yè)的不斷創(chuàng)新和長(zhǎng)期良性發(fā)展，即保證第三方支付機(jī)構(gòu)既能在網(wǎng)上支付市場(chǎng)合規(guī)經(jīng)營(yíng)，切實(shí)履行保護(hù)客戶信息安全義務(wù)，又能通過(guò)行業(yè)創(chuàng)新和有序發(fā)展促進(jìn)整個(gè)互聯(lián)網(wǎng)金融健康成長(zhǎng)、社會(huì)公共安全平安穩(wěn)定。監(jiān)管部門對(duì)第三方支付市場(chǎng)信息安全實(shí)施有效監(jiān)管的目標(biāo)在于第三方支付市場(chǎng)的穩(wěn)定、有效和公平。具體包括以下目標(biāo)：（1）穩(wěn)定目標(biāo)。即維護(hù)第三方支付市場(chǎng)的平穩(wěn)發(fā)展和安全運(yùn)行。穩(wěn)定目標(biāo)主要是防范整個(gè)第三方網(wǎng)上市場(chǎng)信息安全的系統(tǒng)性、大規(guī)模風(fēng)險(xiǎn)。韓國(guó)客戶信息大規(guī)模泄漏案件就是電信的系統(tǒng)性信息安全風(fēng)險(xiǎn)爆發(fā)，最終導(dǎo)致整個(gè)國(guó)家的客戶信息認(rèn)證制度推倒重來(lái)，造成的經(jīng)濟(jì)損失不可計(jì)量，特別對(duì)于網(wǎng)上支付等互聯(lián)網(wǎng)業(yè)務(wù)打擊重大。因此，有效實(shí)施第三方支付市場(chǎng)信息安全的首要目標(biāo)就是避免由于第三方機(jī)構(gòu)信息大規(guī)模泄漏而出現(xiàn)影響社會(huì)公共安全和經(jīng)濟(jì)穩(wěn)定運(yùn)行的系統(tǒng)性風(fēng)險(xiǎn)。（2）有效目標(biāo)。即維護(hù)第三方支付市場(chǎng)的公平競(jìng)爭(zhēng)和持續(xù)發(fā)展。有效目標(biāo)是指有效的監(jiān)管措施能夠創(chuàng)造一個(gè)公平有效的市場(chǎng)環(huán)境，既能有效打擊破壞信息安全的違規(guī)企業(yè)，也能保證不過(guò)度監(jiān)管或監(jiān)管成本過(guò)高，導(dǎo)致整個(gè)市場(chǎng)業(yè)務(wù)創(chuàng)新受到壓制，良性發(fā)展受到限制。（3）公平目標(biāo)。即維護(hù)社會(huì)公眾的利益。公平目標(biāo)主要是提高第三方支付機(jī)構(gòu)對(duì)個(gè)人客戶信息安全保護(hù)要求，確保個(gè)人對(duì)機(jī)構(gòu)的合法權(quán)益得到有效保證。在線上支付交易過(guò)程中，消費(fèi)者與第三方支付機(jī)構(gòu)相比，明顯處于劣勢(shì)地位，第三方支付機(jī)構(gòu)掌握著交易規(guī)則，消費(fèi)者在信息安全保護(hù)方面往往處于弱勢(shì)地位，其權(quán)益不易受到保障。因此，公平監(jiān)管的目標(biāo)就是消除第三方支付市場(chǎng)由于信息不對(duì)稱或其他天然原因給個(gè)人客戶帶來(lái)的不公平和利益受損。

三、監(jiān)管機(jī)制：以央行為主，多方協(xié)調(diào)的強(qiáng)制監(jiān)管介入

第三方支付發(fā)展創(chuàng)新迅速，相關(guān)客戶信息安全規(guī)范監(jiān)管勢(shì)在必行。在我國(guó)，對(duì)于支付結(jié)算這類資金業(yè)務(wù)，必須由中國(guó)人民銀行承擔(dān)主要的監(jiān)管任務(wù)。第三方支付企業(yè)和機(jī)構(gòu)屬于非銀行金融機(jī)構(gòu)，即公司性質(zhì)金融機(jī)構(gòu)，它是銀行業(yè)務(wù)的延伸和發(fā)展，中國(guó)人民銀行應(yīng)承擔(dān)主要的監(jiān)管職責(zé)。由于第三方支付業(yè)務(wù)利用了大數(shù)據(jù)和云計(jì)算等先進(jìn)技術(shù)，并構(gòu)建于移動(dòng)互聯(lián)網(wǎng)、互聯(lián)網(wǎng)基礎(chǔ)之上，所以，互聯(lián)網(wǎng)金融監(jiān)管需要形成監(jiān)管合力，利用“大金融”理念來(lái)統(tǒng)籌多部門協(xié)調(diào)監(jiān)管，僅有央行的監(jiān)管遠(yuǎn)遠(yuǎn)不夠，第三方支付行業(yè)應(yīng)積極采取行業(yè)自律的手段，通過(guò)建立行業(yè)監(jiān)管協(xié)會(huì)，并制定行業(yè)規(guī)范，從而更好地促進(jìn)第三方支付行業(yè)的健康發(fā)展。目前，對(duì)于第三方支付的研究都提出了各自關(guān)于監(jiān)管主體的設(shè)想。中國(guó)人民銀行對(duì)第三方支付機(jī)構(gòu)的企業(yè)性質(zhì)、企業(yè)注冊(cè)資本金、機(jī)構(gòu)存在的風(fēng)險(xiǎn)監(jiān)控、機(jī)構(gòu)的審批程序等方面作出了相應(yīng)規(guī)定。實(shí)際上，第三方支付的業(yè)務(wù)是一個(gè)綜合性業(yè)務(wù)，會(huì)涉及到很多方面，包括金融服務(wù)業(yè)務(wù)，對(duì)網(wǎng)絡(luò)的運(yùn)營(yíng)業(yè)務(wù)等方面，如果只是根據(jù)第三方支付的單一業(yè)務(wù)功能去確定它的監(jiān)管者是片面的，特別是信息安全涉及工信部、公安部、工商行政管理總局等部門職責(zé)管轄范圍，因此第三方支付的某些業(yè)務(wù)會(huì)受到上述監(jiān)管機(jī)構(gòu)的監(jiān)管，如表1所示。因此，對(duì)信息安全的監(jiān)管不能只靠一個(gè)監(jiān)管機(jī)構(gòu)進(jìn)行監(jiān)管，建議構(gòu)建以人民銀行為主導(dǎo)，工信部、公安部、銀監(jiān)會(huì)、工商行政管理總局等部門為輔的多層次第三方支付市場(chǎng)信息安全監(jiān)督管理機(jī)制。

四、監(jiān)管政策：制定覆蓋制度、管理的監(jiān)管規(guī)范

（一）引入第三方評(píng)估機(jī)構(gòu)實(shí)行外部評(píng)估并定期匯報(bào)。第三方支付市場(chǎng)信息安全涉及到很強(qiáng)的專業(yè)性，第三方支付市場(chǎng)融合了金融和互聯(lián)網(wǎng)兩個(gè)行業(yè)，而且還具有復(fù)雜、動(dòng)態(tài)、易擴(kuò)散、高風(fēng)險(xiǎn)的信息安全特征。第三方支付行業(yè)事關(guān)金融安全、個(gè)人財(cái)產(chǎn)安全和社會(huì)公共安全，不能僅靠第三方支付企業(yè)或行業(yè)自律解決，而政府監(jiān)管部門只能在這些專業(yè)領(lǐng)域提供框架性的指導(dǎo)政策，所以引入專業(yè)、獨(dú)立和權(quán)威的第三方評(píng)估機(jī)構(gòu)就非常必要。獨(dú)立的第三方檢測(cè)機(jī)構(gòu)對(duì)第三方支付企業(yè)的信息安全進(jìn)行合法性、合規(guī)性檢查。在選擇第三方評(píng)估機(jī)構(gòu)時(shí)，要注意確保獨(dú)立的第三方評(píng)估機(jī)構(gòu)與“第一方”-監(jiān)管機(jī)構(gòu)和“第二方”-第三方支付機(jī)構(gòu)不具有任何行政隸屬關(guān)系，也不具有任何利益關(guān)系，在檢查中要體現(xiàn)過(guò)程透明，結(jié)果客觀。獨(dú)立的第三方評(píng)估對(duì)第三方支付機(jī)構(gòu)的信息安全實(shí)行外部評(píng)估，出具具有公信力和真實(shí)性的評(píng)估報(bào)告，并向監(jiān)管部門報(bào)送報(bào)告，監(jiān)管部門對(duì)第三方支付機(jī)構(gòu)的信息安全進(jìn)行及時(shí)糾正，也便于第三方支付機(jī)構(gòu)針對(duì)性地進(jìn)行查漏補(bǔ)缺，提高第三方支付機(jī)構(gòu)的信息安全等級(jí)，避免信息安全事故的發(fā)生。除了引入第三方評(píng)估機(jī)構(gòu)實(shí)行外部評(píng)估外，還需要第三方支付機(jī)構(gòu)定期從內(nèi)部進(jìn)行自查自檢，并將信息安全風(fēng)險(xiǎn)管理報(bào)告報(bào)送給監(jiān)管部門，信息安全風(fēng)險(xiǎn)管理報(bào)告主要包括以下內(nèi)容：一是將第三方支付機(jī)構(gòu)可能存在的風(fēng)險(xiǎn)事項(xiàng)和運(yùn)行情況及時(shí)報(bào)送給監(jiān)管部門，如果發(fā)現(xiàn)信息安全風(fēng)險(xiǎn)管理存在問(wèn)題，需要及時(shí)報(bào)告現(xiàn)狀、問(wèn)題及解決方案，有改善建議的，可以向監(jiān)管部門提出信息安全改善工作建議，并尋求監(jiān)管部門的幫助和指導(dǎo)，將風(fēng)險(xiǎn)防患于未然。二是第三方支付機(jī)構(gòu)要履行向監(jiān)管機(jī)構(gòu)上報(bào)信息的職責(zé)，如果以后出現(xiàn)問(wèn)題，支付機(jī)構(gòu)可因向監(jiān)管機(jī)構(gòu)報(bào)送過(guò)信息而免于責(zé)任。三是便于監(jiān)管部門對(duì)第三方支付機(jī)構(gòu)進(jìn)行監(jiān)管，并配以嚴(yán)格的處罰制度，監(jiān)管部門要對(duì)執(zhí)行報(bào)告制度不到位的機(jī)構(gòu)進(jìn)行評(píng)判和處罰，尤其對(duì)于瞞報(bào)重大信息安全風(fēng)險(xiǎn)事件的機(jī)構(gòu)要從嚴(yán)從重處罰。（二）明確第三方支付機(jī)構(gòu)信息安全的管理要求。目前，第三方支付在央行二號(hào)令中沒(méi)有確切的規(guī)范信息安全管理要和風(fēng)險(xiǎn)防范義務(wù)，僅是要求第三方支付機(jī)構(gòu)要妥善保管客戶信息資料，不得出賣客戶信息等。建議增加關(guān)于第三方支付機(jī)構(gòu)信息安全的管理要求：一是對(duì)于我國(guó)第三方支付機(jī)構(gòu)在信息安全方面因治理缺失、重視不夠、規(guī)劃不足和管理不到位等原因，帶來(lái)的系統(tǒng)性風(fēng)險(xiǎn)日益集中和擴(kuò)大的問(wèn)題，將風(fēng)險(xiǎn)管理關(guān)口前移，監(jiān)管機(jī)構(gòu)在機(jī)構(gòu)、業(yè)務(wù)和首席信息官的準(zhǔn)入管理方面，將信息科技準(zhǔn)入納入有關(guān)行政許可法規(guī)，確保第三方機(jī)構(gòu)在機(jī)構(gòu)設(shè)立、業(yè)務(wù)開(kāi)辦與系統(tǒng)投產(chǎn)之初，就建立符合業(yè)務(wù)發(fā)展需要、支持業(yè)務(wù)安全穩(wěn)定運(yùn)行的信息科技管理與運(yùn)行環(huán)境。二是對(duì)于涉及到消費(fèi)者的個(gè)人隱私和財(cái)產(chǎn)安全的客戶信息，如消費(fèi)者在進(jìn)行網(wǎng)上支付時(shí)提供的詳細(xì)個(gè)人信息，應(yīng)制定規(guī)定以規(guī)范第三方支付機(jī)構(gòu)查閱消費(fèi)者客戶信息的權(quán)限和保密義務(wù)，第三方支付機(jī)構(gòu)如果沒(méi)有盡到義務(wù)則應(yīng)承擔(dān)法律責(zé)任，嚴(yán)格確定隱私范圍，并要確定哪些機(jī)構(gòu)有權(quán)查看消費(fèi)者的隱私信息，哪些機(jī)構(gòu)無(wú)權(quán)查看，保護(hù)消費(fèi)者的隱私不受到侵犯。三是對(duì)于第三方支付機(jī)構(gòu)高層管理人員和員工普遍對(duì)信息安全風(fēng)險(xiǎn)意識(shí)淡薄、重視不夠的情況，一方面要明確要求信息安全管理和系統(tǒng)建設(shè)列入第三方支付機(jī)構(gòu)高層管理人員風(fēng)險(xiǎn)管理工作，明確公司高層管理人員對(duì)信息安全風(fēng)險(xiǎn)事件承擔(dān)的責(zé)任。另外，要求第三方支付機(jī)構(gòu)日常加強(qiáng)員工的信息安全風(fēng)險(xiǎn)管理培訓(xùn)，提升全員對(duì)網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)意識(shí)和參與風(fēng)險(xiǎn)管理的責(zé)任心。四是對(duì)于客戶信息違法的行政處罰偏輕，及缺乏明確的處罰責(zé)任，違法成本偏低的情況設(shè)置不同程度罰款的行政處罰，甚至對(duì)于大范圍和數(shù)據(jù)極大的信息泄漏風(fēng)險(xiǎn)事件處罰之外還要責(zé)令第三方支付機(jī)構(gòu)停業(yè)整改，即加大違規(guī)行為處罰力度。從系統(tǒng)存在漏洞、信息泄露以及導(dǎo)致資金損失的行為，對(duì)其高級(jí)管理人員及直接責(zé)任人進(jìn)行處罰。從信息監(jiān)管的角度考慮，有必要設(shè)定行政處罰且要設(shè)定具有足夠威懾力的行政處罰，如果行政處罰的威懾力不足，則起不到監(jiān)管的作用，很難發(fā)揮法律法規(guī)的作用。因此，應(yīng)該合理地設(shè)置第三方支付機(jī)構(gòu)法律制度中的行政處罰條款，真正實(shí)現(xiàn)監(jiān)管的目的。五是明確要求第三方支付機(jī)構(gòu)制定信息安全風(fēng)險(xiǎn)事件應(yīng)急預(yù)案和提取信息安全風(fēng)險(xiǎn)補(bǔ)償金。制定信息安全風(fēng)險(xiǎn)事件應(yīng)急預(yù)案，以確保在即便出現(xiàn)嚴(yán)重的系統(tǒng)癱瘓、網(wǎng)絡(luò)攻擊、客戶信息泄漏以及群體性輿情事件的情況下，能夠有完整的應(yīng)對(duì)措施和準(zhǔn)備手段，防止風(fēng)險(xiǎn)進(jìn)一步擴(kuò)散惡化，最大程度減少機(jī)構(gòu)和客戶損失，并能夠及時(shí)恢復(fù)正常運(yùn)行和交易。近年來(lái)，經(jīng)常發(fā)生的案件是第三方支付平臺(tái)網(wǎng)絡(luò)客戶賬戶登錄名及密碼被盜所導(dǎo)致的財(cái)產(chǎn)損失，由于線上支付環(huán)境很難界定客戶和第三方支付機(jī)構(gòu)各自的責(zé)任，因此，第三方支付機(jī)構(gòu)應(yīng)根據(jù)線上支付交易規(guī)范和風(fēng)險(xiǎn)概率發(fā)生情況，提前建立信息安全風(fēng)險(xiǎn)補(bǔ)償金，對(duì)上述情況難以認(rèn)定責(zé)任的客戶在第一時(shí)間給予資金賠付。建議第三方支付機(jī)構(gòu)建立客戶先行賠付機(jī)制，引入保險(xiǎn)公司對(duì)網(wǎng)上交易風(fēng)險(xiǎn)補(bǔ)償，切實(shí)保護(hù)客戶財(cái)產(chǎn)和客戶信息，提高網(wǎng)絡(luò)用戶對(duì)第三方支付平臺(tái)安全性的信任度。六是規(guī)范信息安全風(fēng)險(xiǎn)管理機(jī)制，做到事前預(yù)防、事中控制、事后治理的全過(guò)程控制。事前預(yù)防：制定分級(jí)管理制度，對(duì)涉及信息安全的人員制定不同的訪問(wèn)權(quán)限，還有不同的數(shù)量控制。制定監(jiān)督檢查機(jī)制，從管理層面入手對(duì)第三方支付信息安全涉及的各個(gè)部門進(jìn)行監(jiān)督管理，規(guī)范交易流程。加大網(wǎng)絡(luò)信息安全的宣傳力度，提高用戶的自我安全保護(hù)意識(shí)，加強(qiáng)對(duì)相關(guān)工作人員的專業(yè)性培訓(xùn)，減少因操作失誤引起的信息安全風(fēng)險(xiǎn)。事中控制：建立風(fēng)控管理平臺(tái)，設(shè)定關(guān)鍵風(fēng)險(xiǎn)指標(biāo)并實(shí)時(shí)采集，對(duì)小額多次、短時(shí)異地、頻繁交易等異常交易進(jìn)行預(yù)警，并根據(jù)預(yù)警信息及時(shí)做好風(fēng)險(xiǎn)評(píng)估及風(fēng)險(xiǎn)應(yīng)急處理方案，有效監(jiān)控并防范重要風(fēng)險(xiǎn)。并對(duì)過(guò)程實(shí)行風(fēng)險(xiǎn)監(jiān)控，定期審查系統(tǒng)和數(shù)據(jù)，對(duì)系統(tǒng)日志、系統(tǒng)維護(hù)記錄、系統(tǒng)報(bào)警記錄、違章報(bào)告、數(shù)據(jù)的操作記錄和下載記錄等進(jìn)行審查，發(fā)現(xiàn)問(wèn)題及時(shí)上報(bào)。對(duì)關(guān)鍵崗位的工作人員按照人員審查標(biāo)準(zhǔn)進(jìn)行定期審查。事后治理：風(fēng)險(xiǎn)事件過(guò)后，組織專門小組對(duì)風(fēng)險(xiǎn)進(jìn)行分析、總結(jié)和記錄，制定風(fēng)險(xiǎn)預(yù)防措施，建立風(fēng)險(xiǎn)記錄檔案，并及時(shí)彌補(bǔ)現(xiàn)有系統(tǒng)漏洞，升級(jí)病毒庫(kù)文件。（三）實(shí)施差異化監(jiān)管，加大對(duì)重點(diǎn)機(jī)構(gòu)信息安全檢查和披露。我國(guó)第三方支付市場(chǎng)呈現(xiàn)寡頭集中現(xiàn)狀，雖然我國(guó)第三方支付企業(yè)較多，但是主要業(yè)務(wù)集中在幾個(gè)大型支付企業(yè)中。在監(jiān)管實(shí)施過(guò)程中，通過(guò)差異化分級(jí)分類管理第三方支付機(jī)構(gòu)，篩選出支付寶、財(cái)付通等占據(jù)重要市場(chǎng)份額和具有較大影響力的支付機(jī)構(gòu)，將其列為重點(diǎn)支付機(jī)構(gòu)，與其他非重點(diǎn)支付機(jī)構(gòu)實(shí)行差異化監(jiān)管。差異化監(jiān)管的實(shí)質(zhì)是總體上投入更多的監(jiān)管資源，引入更加嚴(yán)格的監(jiān)管標(biāo)準(zhǔn)，但是對(duì)于重點(diǎn)支付機(jī)構(gòu)又實(shí)行與其他支付機(jī)構(gòu)差別化的監(jiān)管標(biāo)準(zhǔn)。1.明確重點(diǎn)支付機(jī)構(gòu)的確立原則根據(jù)市場(chǎng)上的各種可能因素如市場(chǎng)份額、涉及工作范圍等因素設(shè)計(jì)評(píng)分標(biāo)準(zhǔn)，對(duì)機(jī)構(gòu)按照設(shè)定的評(píng)分標(biāo)準(zhǔn)進(jìn)行打分，按照得分高低情況評(píng)出重點(diǎn)支付機(jī)構(gòu)，重點(diǎn)進(jìn)行管理。加強(qiáng)監(jiān)管第三方支付構(gòu)可以采取實(shí)地檢查與報(bào)告檢查相結(jié)合的方法。對(duì)于重點(diǎn)支付機(jī)構(gòu)，最好采用實(shí)地檢查的方法，而且檢查頻率要高，如果采用報(bào)告檢查的方法，則要求報(bào)告盡量詳細(xì)，對(duì)報(bào)告必須包含的內(nèi)容要有明確的要求，根據(jù)報(bào)告的內(nèi)容，結(jié)合以往的經(jīng)驗(yàn)，可以發(fā)現(xiàn)第三方支付機(jī)構(gòu)市場(chǎng)中存在的一些涉及信息安全的問(wèn)題。2.制定更加嚴(yán)格的監(jiān)管標(biāo)準(zhǔn)監(jiān)管重點(diǎn)支付機(jī)構(gòu)在現(xiàn)在普遍適用的監(jiān)管規(guī)則上，要結(jié)合重點(diǎn)支付機(jī)構(gòu)尤其構(gòu)成壟斷寡頭的個(gè)別幾家支付機(jī)構(gòu)的業(yè)務(wù)特征，制定更加嚴(yán)格的監(jiān)管標(biāo)準(zhǔn)。監(jiān)管部門要建立監(jiān)管系統(tǒng)，可以實(shí)時(shí)監(jiān)控重點(diǎn)第三方支付機(jī)構(gòu)，掌握重點(diǎn)第三方支付機(jī)構(gòu)的營(yíng)業(yè)狀況，有效防范客戶信息系統(tǒng)風(fēng)險(xiǎn)防控問(wèn)題和支付機(jī)構(gòu)不如實(shí)上報(bào)業(yè)務(wù)情況。處理違規(guī)情況，不能僅僅依靠行業(yè)自律，應(yīng)該提高規(guī)則制度的威懾力、加大懲處力度，對(duì)違反《管理辦法》的機(jī)構(gòu)高管和直接責(zé)任人員相應(yīng)施以處罰，提高違規(guī)的經(jīng)濟(jì)成本和社會(huì)成本。對(duì)于通過(guò)違規(guī)非法謀取利益的，應(yīng)該提高罰款金額，若仍未悔改者，則應(yīng)該命令其立即停止?fàn)I業(yè)，防止別的行內(nèi)機(jī)構(gòu)效仿。3.對(duì)運(yùn)營(yíng)良好的重點(diǎn)支付機(jī)構(gòu)給予一定的監(jiān)管激勵(lì)不僅要對(duì)違規(guī)機(jī)構(gòu)進(jìn)行處罰，對(duì)于運(yùn)營(yíng)良好的重點(diǎn)支付機(jī)構(gòu)要給予一定的監(jiān)管激勵(lì)，例如對(duì)于那些歷史上沒(méi)有發(fā)生過(guò)信息安全風(fēng)險(xiǎn)事件的重點(diǎn)支付機(jī)構(gòu)，對(duì)內(nèi)控制度完善、產(chǎn)品設(shè)計(jì)和業(yè)務(wù)流程符合規(guī)范的重點(diǎn)支付機(jī)構(gòu)、及時(shí)報(bào)告信息且信息真實(shí)的重點(diǎn)支付機(jī)構(gòu)、央行在實(shí)地檢查和報(bào)告檢查中都沒(méi)發(fā)現(xiàn)什么問(wèn)題或者問(wèn)題特別少的重點(diǎn)支付機(jī)構(gòu)等，可以給予正向的監(jiān)管激勵(lì)。比如，允許運(yùn)營(yíng)良好的支付機(jī)構(gòu)在經(jīng)監(jiān)管部門同意的前提下安全、靈活運(yùn)用客戶備付金，并適度放松對(duì)客戶備付金和自有資本金存管的要求，提高其企業(yè)信用度，或者可以安排運(yùn)營(yíng)良好的重點(diǎn)支付機(jī)構(gòu)進(jìn)行新業(yè)務(wù)或者新產(chǎn)品試點(diǎn)等。

五、效果評(píng)估：建立第三方支付信息安全情況評(píng)估指標(biāo)體系

（一）指標(biāo)體系設(shè)計(jì)的依據(jù)和原則。監(jiān)管部門或行業(yè)協(xié)會(huì)組織應(yīng)對(duì)第三方支付機(jī)構(gòu)建立一套統(tǒng)一的行業(yè)信息安全標(biāo)準(zhǔn)和評(píng)價(jià)指標(biāo)，明確自身在信息安全管理和系統(tǒng)建設(shè)方面的義務(wù)和責(zé)任，對(duì)問(wèn)題和風(fēng)險(xiǎn)實(shí)行定量評(píng)估和指標(biāo)管理，發(fā)現(xiàn)信息安全風(fēng)險(xiǎn)關(guān)鍵點(diǎn)和隱患。指標(biāo)體系建設(shè)可督促第三方支付機(jī)構(gòu)切實(shí)落實(shí)監(jiān)管政策各項(xiàng)要求，也便于定期公布對(duì)比各第三方支付機(jī)構(gòu)信息安全管理等級(jí)，使行業(yè)風(fēng)險(xiǎn)管理更加嚴(yán)謹(jǐn)細(xì)致和科學(xué)合理。（二）第三方支付機(jī)構(gòu)計(jì)算機(jī)系統(tǒng)安全運(yùn)行率指標(biāo)。計(jì)算機(jī)系統(tǒng)安全運(yùn)行率=一年內(nèi)系統(tǒng)安全運(yùn)行實(shí)際天數(shù)/365天。計(jì)算機(jī)系統(tǒng)安全質(zhì)量：按照一年內(nèi)生產(chǎn)事故數(shù)量劃段評(píng)估，數(shù)量越少質(zhì)量越高。該指標(biāo)衡量第三方支付機(jī)構(gòu)計(jì)算機(jī)系統(tǒng)安全運(yùn)行的持續(xù)能力和質(zhì)量。（三）第三方支付機(jī)構(gòu)網(wǎng)絡(luò)信息安全標(biāo)準(zhǔn)達(dá)標(biāo)率指標(biāo)。網(wǎng)絡(luò)信息安全標(biāo)準(zhǔn)達(dá)標(biāo)包括：網(wǎng)絡(luò)線路的暢通，路由設(shè)備的安全配置，網(wǎng)絡(luò)安全類防病毒軟件的安裝、升級(jí)和審計(jì)防火墻的訪問(wèn)配置，審計(jì)專用網(wǎng)絡(luò)的隔離和訪問(wèn)控制等，根據(jù)上述內(nèi)容評(píng)分得到指標(biāo)。（四）第三方支付機(jī)構(gòu)客戶信息泄漏率指標(biāo)?？蛻粜畔⑿孤┲笜?biāo)=發(fā)生客戶信息外泄的數(shù)量/該機(jī)構(gòu)所有客戶信息數(shù)量。客戶信息泄漏案件級(jí)別：按照不同客戶信息外泄數(shù)量對(duì)應(yīng)等級(jí)，數(shù)量越大等級(jí)越高。（五）第三方支付機(jī)構(gòu)網(wǎng)上交易欺詐率指標(biāo)。網(wǎng)上交易欺詐比率指標(biāo)用來(lái)衡量支付機(jī)構(gòu)支付業(yè)務(wù)風(fēng)險(xiǎn)控制能力。監(jiān)管機(jī)構(gòu)可以設(shè)定一個(gè)允許網(wǎng)上交易欺詐比率指標(biāo)的最大值，若支付機(jī)構(gòu)的網(wǎng)上交易欺詐比率的值超過(guò)這個(gè)最大值，則說(shuō)明這個(gè)支付機(jī)構(gòu)的經(jīng)營(yíng)不合法，需要進(jìn)行整改，監(jiān)管機(jī)構(gòu)可以處罰這個(gè)支付機(jī)構(gòu)，根據(jù)超過(guò)最大值的程度確定支付機(jī)構(gòu)的違規(guī)程度，對(duì)其實(shí)施相應(yīng)程度的處罰。而對(duì)于有些支付機(jī)構(gòu)，該指標(biāo)數(shù)值較小，比如支付機(jī)構(gòu)具有完備的風(fēng)險(xiǎn)控制措施，不拓展賭博、洗錢等非法商戶，在拓展商戶方法進(jìn)行嚴(yán)格審核，在信息安全方面具有較強(qiáng)的能力、可保障支付安全、客戶資金安全，對(duì)于這類支付機(jī)構(gòu)，則該指標(biāo)數(shù)值較小。

六、結(jié)語(yǔ)

本文旨在提出第三方支付市場(chǎng)信息安全監(jiān)管的目標(biāo)、機(jī)制、政策和效果評(píng)估等政策設(shè)計(jì)建議。首先明確了有效監(jiān)管的目標(biāo)：確保第三方支付市場(chǎng)的穩(wěn)定，有效和公平；為了實(shí)現(xiàn)監(jiān)管目標(biāo)，需要明確監(jiān)管主體和職責(zé)范圍，提出以央行為主，多方協(xié)調(diào)強(qiáng)制監(jiān)管介入的監(jiān)管機(jī)制，多個(gè)監(jiān)管部門一起承擔(dān)監(jiān)管責(zé)任，一起對(duì)第三方支付機(jī)構(gòu)的信息安全進(jìn)行監(jiān)管，發(fā)揮多部門聯(lián)合監(jiān)管的系統(tǒng)化治理作用；提出了引入第三方評(píng)估機(jī)構(gòu)實(shí)行外部評(píng)估并定期匯報(bào)、明確第三方支付機(jī)構(gòu)信息安全的管理要求、實(shí)施差異化監(jiān)管，加大對(duì)重點(diǎn)機(jī)構(gòu)信息安全檢查和披露等多個(gè)方面的政策措施。最后提出監(jiān)管效果的評(píng)估指標(biāo)體系，使用具體的數(shù)據(jù)量化地衡量監(jiān)管效果。

作者:危懷安 李松濤 單位:華中科技大學(xué)公共管理學(xué)院